Internet Security的中心更新了它的保障措施,用于防御Firity Networks-Web应用程序黑客,内幕和特权滥用,恶意软件,赎金软件和有针对性的入侵的五种最常见类型的攻击。
在发出它CIS控制V8本月,该组织试图提出实际和具体行动企业可以采取保护其网络和数据。这些范围从制作企业资产的库存,以将管理管理到审计日志。
部分内容需要新版本,以解决自从三年前发布的V7以来的企业经营的更改,这些变更引导了这项工作。“在每次讨论中,”从基于云计算,虚拟化,移动,外包,工作以及更改攻击者战术的移动,“新的控件文件说。
CIS更改了控件的格式,描述了应采取的操作,以应对威胁和弱点而不说谁应该执行这些任务。这将重点放在任务上,而不将它们与企业内的特定团队联系起来。
控件每个都附带详细的过程,以实现与相关资源的链接一起。这是18个控制的简要说明。
控制1:企业资产的库存和控制
此呼吁积极管理库存,跟踪和纠正所有最终用户设备,包括便携式和移动设备;网络设备;非计算/物联网(物联网)设备;和服务器,用于物理,几乎,远程和云环境中的基础架构。库存将有助于识别删除或修复设备。
控制2:软件资产的库存和控制
企业应积极地库存,跟踪和纠正网络上的所有操作系统和应用程序,以发现和阻止未经授权和非托管软件,以便仅安装授权软件并执行。
控制3:数据保护
应建立数据流程和技术控制以识别,分类,安全地处理,保留和处理数据。
为此的理想是将相同的灵敏度水平的数据放在同一网络上,并与其他灵敏度水平的数据隔离。防火墙将控制对每个段的访问权限,并且只能访问访问具有访问它们的用户的用户。
控制4:安全配置资产和软件
安全配置最终用户设备,包括便携式和移动设备;网络设备;非计算/物联网设备;服务器;应建立,存储和维护操作系统和应用程序。在服务器前安装VPN和使用企业控制的DNS服务器。
Conton 5:账户管理
这建议使用进程和工具管理企业资产和软件的授权。这些包括管理员和服务帐户。一个推荐要求将管理员权限限制给专用管理员帐户,并仅向实际管理网络资产的人授予这些权限。这些管理员还应具有他们用于访问电子邮件,Web浏览和生产力应用程序的单独帐户。
控制6:访问控制管理
企业应使用进程和工具来为企业资产和软件创建,分配,管理和撤消用户,管理员和服务帐户的访问凭据和权限。基于角色的访问应根据需要的需要,最小特权,隐私要求和职责分离分配给每个帐户。
控制7:持续的漏洞管理
应在企业基础设施中持续评估和跟踪漏洞,以便及时修复,以尽量减少攻击者利用它们的机会窗口。公共和私营行业的新威胁和漏洞信息应该用于帮助这一过程。
控制8:审计日志管理
应收集,审核日志,审核和保留文件事件,并帮助检测,理解和从攻击中恢复。日志可以显示何时以及如何以及如何发生攻击,访问哪些信息,以及是否已删除数据。日志保留对于后续调查至关重要,或者了解长期未被发现的攻击。
控制9:电子邮件和Web浏览器保护
这种控制促使通过直接参与可以改善可以操纵人类行为的电子邮件和网络威胁的保护和检测;这些是恶意代码和社会工程的主要目标。保护措施包括使用DNS过滤服务来减少基于网络的URL过滤器的曝光和执行>
控制10:恶意软件防御
企业应使用在所有企业资产上包含反恶意软件软件的方法来防止或控制软件的安装,传播和执行软件,扫描可移动媒体上的恶意软件,如拇指驱动器,并启用防剥削功能“作为Microsoft®数据执行预防(DEP),Windows®Defender Exploit Guard(WDEG)或Apple®系统完整性保护(SIP)和GateKeeper™。“
控制11:数据恢复
应当到达足以恢复范围内企业资产的数据恢复措施,应当到位。由于配置更改可以为攻击者创建漏洞的漏洞,因此最近备份将企业资产和数据恢复到已知的可信状态非常重要。
控制12:网络基础设施管理
企业应该跟踪,报告和正确的网络设备,以防止攻击者利用网络服务和访问点。基础架构包括物理和虚拟网关,防火墙,无线接入点,路由器和交换机。这些措施应该解决可以使用默认设置,更改监视和重新评估当前配置来解决漏洞。一个示例正在运行最新的软件稳定版本或使用当前支持的网络AS-Service(NAAS)产品。
此外,企业应维持网络图和其他系统文档,并每年审查和更新。用于管理任务的计算资源应与主要企业网络进行物理或逻辑分离,并从Internet访问隔离。
控制13:网络监控和防御
应建立综合网络监控和防御威胁,包括入侵检测,网络段之间的流量过滤,以及部署端口级控件,例如802.1x身份验证支持的端口级控件。
控制14:安全意识和技能培训
应建立安全意识计划,在劳动力中建立安全意识,并为他们提供减少网络安全风险的技能。
控制15:服务提供者管理
应该建立一个流程来评估持有敏感数据或负责关键企业it平台或流程的服务提供者,以确保他们提供适当的保护。企业应该为服务提供商设置要求,其中可能包括最低安全程序、安全事件和数据泄露通知和响应、数据加密要求和数据处理承诺。企业应该每年审查服务提供商的合同,以确保它们包含这些要求。
控制16:应用软件安全
企业应管理内部开发,托管或收购软件的安全生命周期,以防止,检测和修复安全弱点,然后才能影响企业。组织还应使用标准,行业推荐的配置模板来硬化基础服务器,数据库和Web服务器。这也适用于云容器,平台和服务组件和SaaS组件。
控制17:事故 - 响应管理
应分配关键作用和责任,包括来自法律,IT,信息安全,设施,公关,人力资源,事件响应者和分析师的员工的员工。该计划每年应进行审查,或者发生重大的企业变更可能影响事故响应。
对照18:渗透试验
渗透测试程序应该模拟攻击者的行为,以识别和利用人员、流程和技术之间的弱点。程序应该适合于企业的规模、复杂性和成熟度。漏洞应根据企业的修复范围和优先级策略进行修复。